×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Geavanceerde hackersgroep heeft mogelijk banden met NSA'

Door , 119 reacties

Beveiligingsbedrijf Kaspersky heeft het bestaan van een hackersgroep ontdekt die mogelijk achter tienduizenden infecties zit en die groep kan worden gelinkt aan de Amerikaanse inlichtingendienst NSA. De hackersgroep maakte gebruik van command-and-control-servers in onder meer Nederland.

Kaspersky noemt de hackersgroep, die in ieder geval sinds 2001 actief zou zijn, een van de meest geavanceerde ooit. Het Russische beveiligingsbedrijf heeft vijfhonderd infecties van de groep weten te achterhalen, maar denkt dat het daadwerkelijke aantal infecties in de tienduizenden loopt. Niet alle infecties konden worden achterhaald, omdat de malware van de groep zichzelf kan vernietigen. Vooral instellingen in Iran, Rusland en Pakistan zouden het doelwit zijn geweest, evenals Afghanistan, India en China. Daarbij werden onder meer overheden en militaire instellingen aangevallen, maar ook providers, universiteiten en onderzoeksinstellingen.

Het bedrijf heeft de hackersgroep de Equation Group gedoopt, vanwege de voorliefde van de aanvallers voor encryptie en methoden om hun sporen te wissen. Hoewel Kaspersky met geen woord rept over betrokkenheid van de Amerikaanse inlichtingendienst NSA, zijn er meerdere aanwijzingen voor verbanden tussen die twee, tekent Ars Technica aan. Zo komen sommige codenamen in de broncode van de door de groep gebruikte malware overeen met codenamen die voorkwamen in Snowden-documenten. Ook de naam van een keylogger kwam overeen.

Bovendien kwamen twee van de zero day-kwetsbaarheden die de groep gebruikte overeen met kwetsbaarheden die de NSA zou hebben gebruikt in Stuxnet, malware waarmee Iraanse nucleaire installaties werden aangevallen. Ook bepaalde technieken die de hackers gebruikten, bijvoorbeeld om hun sporen te wissen, kwamen overeen. Het is dan ook mogelijk dat de malware van de groep is gebruikt in de Stuxnet-aanval, aldus Kaspersky.

Kaspersky rept niet over infecties in Nederland, hoewel dat niet wil zeggen dat die er niet zijn geweest. Zeker is wel dat ook Europese instellingen het doelwit waren: onder meer in België, maar ook in het Verenigd Koninkrijk, Frankrijk en Zwitserland, vond Kaspersky infecties. Kaspersky vond wel minstens één command-and-control-server op Nederlandse bodem.

De groep beschikte onder meer over malware met een eigen virtueel bestandssysteem, zodat bestanden van de malware niet op het normale bestandssysteem hoeven te worden ondergebracht en dus minder makkelijk te vinden zijn door virusscanners. Die techniek zou ook zijn gebruikt bij aanvallen van de NSA op de Duitse overheid en een Britse aanval op de Belgische provider Belgacom.

Ook bracht malware van de groep bestanden onder in het register van Windows, eveneens met als doel om de sporen te wissen. Daarnaast beschikte de groep over malware die zich verspreidt via usb-sticks, om zo airgapped-computers die niet aan internet zijn geknoopt te kunnen infecteren. Hoewel Kaspersky enkel Windows-infecties aantrof, zijn er aanwijzingen dat de groep ook op iOS- en OS X-apparatuur wist binnen te dringen.

De groep zou ook in staat zijn om malware onder te brengen in firmware, bijvoorbeeld in die van de harde schijf. Daarbij wist de groep onder meer schijven van Western Digital, Seagate en Toshiba te kraken. Daardoor krijgt de malware volledige controle over de computer; zelfs herinstallatie van het besturingssysteem of het wipen van de schijf zorgt er dan niet meer voor dat de malware verdwijnt. Ook is het daardoor vrijwel onmogelijk om malware te detecteren.

Slachtoffers kregen de malware onder meer via cd's die de groep onderschepte en voorzag van malware. Het onderscheppen van pakketten om malware toe te voegen is een techniek waarvan eerder al bleek dat de Amerikaanse NSA die toepast.

Door Joost Schellevis

Redacteur

17-02-2015 • 08:17

119 Linkedin Google+

Reacties (119)

Wijzig sortering

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*